Sdileni souboru v domaci siti
Radek Benedikt
benedikt@login.cz
Pátek Leden 2 12:19:46 CET 2009
Statická adresa je něco jiného, tato je dynamická, jen pevně přidělovaná.
Pokud si útočník přidělí adresu sám ručně, tak se do sítě dostane. Dá se
tomu ale taky částečně "odpomoct". Routeru dám IP pro vnitřní síť např.
192.168.173.6 s maskou 255.255.255.248 Tím mám k dispozici "osmičku" IP
adres -2 adresy první a poslední jsou nepoužitelné, jsou vyhrazené
"služební" pro broadcast/multicast. Z tohoto důvodu nestačí "čtyřka", router
je potřeba zahrnout také do potřebného rozsahu.
Souhrn vypadá tedy takto:
.0 - služební
.1 - PC1
.2 - PC2
.3 až .5 vymyšlené PC3 až PC5
.6 - router
.7 - služební
Psal jsem jen koncové IP adresy, těmi vymyšlenými PC, myslím PC s náhodně
vymyšlenými adresami MAC, zadanými do statické tabulky DHCP serveru, jediný
účel tohoto řešení je odebrat DHCP serveru fond adres. Jinak bych tomu
routeru dal jinou IP z rozsahu 192.168.x.x, nenechával bych ho na
192.168.1.x nebo 192.168.0.x, ty jsou dost používané. Psudonáhodná adresa
sítě a routeru vyžaduje minimálně odposlechnout komunikaci. Navíc ztěžuje
hledání šifrovacích klíčů u routerů s WiFi (pokud je zapnuto šifrování),
ubyde pravděpodobných hodnot, které se v paketu hledají a umožňujích zmenšit
složitost hledání klíče. Z těchto důvodů jsem ani ve výše uvedeném příkladu
nedal router např. na 192.168.173.1 U složitějších zařízení (z trochu jiné
cenové skupiny) lze obdobné řešení udělat i na úrovni portů a zamknout
přiřazení MAC a odpovídajících "konektorů" na zařízení. Ale to u toho o čem
se bavíme nehrozí.
PS. To datum mám opravdu, tedy pokud nezapomenu to právě kvůli e-mailu
přehodit, 31.12.2008 - děláme údržbu účetního systému (DOSovského, čas bere
ze sytému a server má dnes vynuceně silvestra)
Radek (benedikt@lphard.cz)
> -----Original Message-----
> From: hw-list-bounces@list.hw.cz
> [mailto:hw-list-bounces@list.hw.cz] On Behalf Of Zdenek
> Sent: Friday, January 02, 2009 11:55 AM
> To: HW-news
> Subject: Re: Sdileni souboru v domaci siti
>
> To me nenapadlo vyzkouset, protoze v navodu je toto:
>
> "Upozornění: V továrním nastavení implicitně je rozsah IP od
> 192.168.2.100 do IP 192.168.2.199. Pokud chcete aby Váš
> počítač měl statickou/fixní IP adresu, pak musíte zvolit IP
> adresu mimo rozsah této IP adresy."
>
> Rozsah IP se da zmenit, jen jsem z toho pochopil, ze ty
> staticke musi byt mimo tento rozsah.
>
> Zdenek
>
> PS: Podle datumu mate dnes Silvestr.
>
>
> Radek Benedikt napsal(a):
> > Ne je to jednodušší než se zdá.
> >
> > Rozsah fondu adres DHCP serveru se omezí, tak aby
> přiděloval pouze dvě
> > IP adresy. Tyto dvě adresy se dají do tabulky adres DHCP serveru,
> > které přiděluje staticky podle MAC. Toť celé kouzlo, když
> se připojí
> > známé PC tak dostane tu "svoji" IP a když se připojí "útočník", tak
> > nedostane nic, protože fond adres je vyčerpán - ty celé dvě
> co lze přidělit jsou obsazené.
> >
> > Radek (benedikt@lphard.cz)
> >
> >> -----Original Message-----
> >> From: hw-list-bounces@list.hw.cz
> >> [mailto:hw-list-bounces@list.hw.cz] On Behalf Of Zdenek
> >> Sent: Friday, January 02, 2009 11:03 AM
> >> To: HW-news
> >> Subject: Re: Sdileni souboru v domaci siti
> >>
> >> Vyzkousel jsem, funguje.
> >>
> >> Nicmene nerozumim te drobne vyhode, ze router neprideli IP nikomu
> >> cizimu. To bych musel vypnout DHCP server. V tom pripade neprideli
> >> ani IP dane tabulkou podle MAC. Musim pak nastavit pevnou
> IP primo na
> >> PC.
> >>
> >> Zdenek
> >>
> >> Pavel Kadečka napsal(a):
> >>> Router může přidělovat IP adresy podle MAC adres, pak má každej
> >>> počítač vždycky tu samou - řek bych, že je to i lepší pro
> >> to sdílení
> >>> ve Windows síti, protože místo názvu PC použijete tu IP
> >> adresu (někdy
> >>> se stává, že počítač nejde najít v síti podle jeho jména,
> >> ale adresa
> >>> funguje vždycky).
> >>>
> >>> Má to i drobnou výhodu, že je o chlup těžší se do sítě nabourat z
> >>> venku, protože router nepřidelí adresu nikomu cizímu.
> >
> > _______________________________________________
> > HW-list mailing list - sponsored by www.HW.cz Hw-list@list.hw.cz
> > http://list.hw.cz/mailman/listinfo/hw-list
> >
> >
> >
> > __________ Informace od ESET NOD32 Antivirus, verze databaze 3727
> > (20081231) __________
> >
> > Tuto zpravu proveril ESET NOD32 Antivirus.
> >
> > http://www.eset.cz
> >
> >
> >
> >
> _______________________________________________
> HW-list mailing list - sponsored by www.HW.cz
> Hw-list@list.hw.cz http://list.hw.cz/mailman/listinfo/hw-list
>
Další informace o konferenci Hw-list